漏洞概要
关注数(24)
关注此漏洞
漏洞标题:新浪sae源码泄露、svn信息泄露
相关厂商:新浪
提交时间:2012-04-14 10:49
修复时间:2012-04-15 07:52
公开时间:2012-04-15 07:52
漏洞类型:重要敏感信息泄露
危害等级:中
自评Rank:5
漏洞状态:漏洞已经通知厂商但是厂商忽略漏洞
Tags标签:
无
漏洞详情
披露状态:
2012-04-14: 细节已通知厂商并且等待厂商处理中
2012-04-15: 厂商已经主动忽略漏洞,细节向公众公开
简要描述:
sae服务器上svn信息泄露、部分源码泄露
详细说明:
首先 os.environ
可能前面的会觉得是正常功能不算漏洞,但是
os.listdir('/usr/local/sae/python/lib/python2.6/site-packages')
下面所有目录svn都能读到entries
Python Path: ['/data1/www/htdocs/5**/e**/1','/usr/local/sae/python/lib/python26.zip', '/usr/local/sae/python/lib/python2.6','/usr/local/sae/python/lib/python2.6/plat-linux2', '/usr/local/sae/python/lib/python2.6/lib-tk','/usr/local/sae/python/lib/python2.6/lib-old', '/usr/local/sae/python/lib/python2.6/lib-dynload', '/usr/local/sae/python/lib/python2.6/site-packages']
另外这些你们的所有模块都可以完全读出py源码,相当于完全开源了?是否考虑全部或部分只保留.pyc而非.py?这样所有源码可读如果有人用长时间研究一下是否可能找到一些漏洞?
以上所有内容是否算漏洞我也没法确定,新浪觉得呢 :)
漏洞证明:
修复方案:
版权声明:转载请注明来源 路人甲@乌云
漏洞回应
厂商回应:
危害等级:无影响厂商忽略
忽略时间:2012-04-15 07:52
厂商回复:
不是漏洞。 这些代码是SAE上开源的开源代码,本身就允许用户读取。
文中所指的泄露源代码是指的 Python的class。
Python的class放在Python目录下,允许任意SAE用户读取、调用,对SAE用户开源。
所有SAE用户自己的代码没有任何泄露。
最新状态:
暂无
漏洞评价:
评论
-
2012-04-14 16:17 |
liliang13 ( 路人 | Rank:3 漏洞数:1 | 这是我的城市)
-
2012-04-14 17:01 |
我真的不帅 ( 路人 | Rank:19 漏洞数:7 | 今朝有酒今朝醉,天道茫茫何所求)
-
2012-04-16 10:08 |
北北 ( 路人 | Rank:25 漏洞数:5 | 广告位招租。有阿里、万网的漏洞私信给我有...)
-
2012-04-17 20:50 |
draGxn ( 实习白帽子 | Rank:35 漏洞数:4 | 路慢慢。。。)